信息安全審計報告

1、涉密計算機安全保密審計報告審計對象：xx計算機審計日期：xxxx年xx月xx日審計小組人員組成：姓名：xx部門：xxx姓名：xxx部門：xxx審計主要內(nèi)容清單：1.安全策略檢查2.外部環(huán)境檢查3.管理人員檢查審計記錄篇二：審計報告格式審計報告格式一、引言隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)信息的安全越來越引起世界各國的重視，防病毒產(chǎn)品、防火墻、入侵檢測、漏洞掃描等安全產(chǎn)品都得到了廣泛的應(yīng)用，但是這些信息安全產(chǎn)品都是為了防御外部的入侵和竊取。隨著對網(wǎng)絡(luò)安全的認(rèn)識和技術(shù)的發(fā)展，發(fā)現(xiàn)由于內(nèi)部人員造成的泄密或入侵事件占了很大的比例，所以防止內(nèi)部的非法違規(guī)行為應(yīng)該與抵御外部的入侵同樣地受到重視，要做到這點就需要在網(wǎng)絡(luò)中

2、實現(xiàn)對網(wǎng)絡(luò)資源的使用進(jìn)行審計。在當(dāng)今的網(wǎng)絡(luò)中各種審計系統(tǒng)已經(jīng)有了初步的應(yīng)用，例如：數(shù)據(jù)庫審計、應(yīng)用程序?qū)徲嬕约熬W(wǎng)絡(luò)信息審計等，但是，隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，功能相對單一的審計產(chǎn)品有一定的局限性，并且對審計信息的綜合分析和綜合管理能力遠(yuǎn)遠(yuǎn)不夠。功能完整、管理統(tǒng)一，跨地區(qū)、跨網(wǎng)段、集中管理才是綜合審計系統(tǒng)最終的發(fā)展目標(biāo)。本文對涉密信息系統(tǒng)中安全審計系統(tǒng)的概念、內(nèi)容、實現(xiàn)原理、存在的問題、以及今后的發(fā)展方向做出了討論。二、什么是安全審計國內(nèi)通常對計算機信息安全的認(rèn)識是要保證計算機信息系統(tǒng)中信息的機密性、完整性、可控性、可用性和不可否認(rèn)性（抗抵賴），簡稱“五性”。安全審計是這“五性”的重要保障之一，它

3、對計算機信息系統(tǒng)中的所有網(wǎng)絡(luò)資源（包括數(shù)據(jù)庫、主機、操作系統(tǒng)、安全設(shè)備等）進(jìn)行安全審計，記錄所有發(fā)生的事件，提供給系統(tǒng)管理員作為系統(tǒng)維護(hù)以及安全防范的依據(jù)。安全審計如同銀行的監(jiān)控系統(tǒng)，不論是什么人進(jìn)出銀行，都進(jìn)行如實登記，并且每個人在銀行中的行動，乃至一個茶杯的挪動都被如實的記錄，一旦有突發(fā)事件可以快速的查閱進(jìn)出記錄和行為記錄，確定問題所在，以便采取相應(yīng)的處理措施。近幾年，涉密系統(tǒng)規(guī)模不斷擴大，系統(tǒng)中使用的設(shè)備也逐漸增多，每種設(shè)備都帶有自己的審計模塊，另外還有專門針對某一種網(wǎng)絡(luò)應(yīng)用設(shè)計的審計系統(tǒng)，如：操作系統(tǒng)的審計、數(shù)據(jù)庫審計系統(tǒng)、網(wǎng)絡(luò)安全審計系統(tǒng)、應(yīng)用程序?qū)徲嬒到y(tǒng)等，但是都無法做到對計算機信

4、息系統(tǒng)全面的安全審計，另外審計數(shù)據(jù)格式不統(tǒng)一、審計分析規(guī)則無法統(tǒng)一定制也給系統(tǒng)的全面綜合審計造成了一定的困難。如果在當(dāng)前的系統(tǒng)條件下希望全面掌握信息系統(tǒng)的運行情況，就需要對每種設(shè)備的審計模塊熟練操作，并且結(jié)合多種專用審計產(chǎn)品才能夠做到。為了能夠方便地對整個計算機信息系統(tǒng)進(jìn)行審計，就需要設(shè)計綜合的安全審計系統(tǒng)。它的目標(biāo)是通過數(shù)據(jù)挖掘和數(shù)據(jù)倉庫等技術(shù)，實現(xiàn)在不同網(wǎng)絡(luò)環(huán)境中對網(wǎng)絡(luò)設(shè)備、終端、數(shù)據(jù)資源等進(jìn)行監(jiān)控和管理，在必要時通過多種途徑向管理員發(fā)出警告或自動采取排錯措施，并且能夠?qū)v史審計數(shù)據(jù)進(jìn)行分析、處理和追蹤。主要作用有以下幾個方面：1. 對潛在的攻擊者起到震懾和警告的作用；2. 對于已經(jīng)發(fā)生的

5、系統(tǒng)破壞行為提供有效的追究證據(jù)；3. 為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志，從而幫助系統(tǒng)管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞；4. 為系統(tǒng)管理員提供系統(tǒng)的統(tǒng)計日志，使系統(tǒng)管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進(jìn)和加強的地方。三、涉密信息系統(tǒng)安全審計包括的內(nèi)容中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例中定義的計算機信息系統(tǒng)，是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。涉密計算機信息系統(tǒng)（以下簡稱“涉密信息系統(tǒng)”）在計算機信息系統(tǒng)保密管理暫行規(guī)定中定義為：采集、存儲、處理、傳遞、輸出國家秘密信息的計算

6、機信息系統(tǒng)。所以針對涉密信息系統(tǒng)的安全審計的內(nèi)容就應(yīng)該針對涉密信息系統(tǒng)的每一個方面，應(yīng)該對計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)），以及對信息的采集、加工、存儲、傳輸和檢索等方面進(jìn)行審計。具體來說，應(yīng)該對一個涉密信息系統(tǒng)中的以下內(nèi)容進(jìn)行安全審計：被審計資源安全審計內(nèi)容重要服務(wù)器主機操作系統(tǒng)系統(tǒng)啟動、運行情況，管理員登錄、操作情況，系統(tǒng)配置更改（如注冊表、配置文件、用戶系統(tǒng)等）以及病毒或蠕蟲感染、資源消耗情況的審計，硬盤、cpu、內(nèi)存、網(wǎng)絡(luò)負(fù)載、進(jìn)程、操作系統(tǒng)安全日志、系統(tǒng)內(nèi)部事件、對重要文件的訪問等。重要服務(wù)器主機應(yīng)用平臺軟件重要應(yīng)用平臺進(jìn)程的運行、webserver>mailser

7、ver>lotus、exchangeserver、中間件系統(tǒng)、健康狀況（響應(yīng)時間等）等。重要數(shù)據(jù)庫操作數(shù)據(jù)庫進(jìn)程運轉(zhuǎn)情況、繞過應(yīng)用軟件直接操作數(shù)據(jù)庫的違規(guī)訪問行為、對數(shù)據(jù)庫配置的更改、數(shù)據(jù)備份操作和其他維護(hù)管理操作、對重要數(shù)據(jù)的訪問和更改、數(shù)據(jù)完整性等的審計。重要應(yīng)用系統(tǒng)辦公自動化系統(tǒng)、公文流轉(zhuǎn)和操作、網(wǎng)頁完整性、相關(guān)業(yè)務(wù)系統(tǒng)（包括業(yè)務(wù)系統(tǒng)正常運轉(zhuǎn)情況、用戶開設(shè)/中止等重要操作、授權(quán)更改操作、數(shù)據(jù)提交/處理/訪問/發(fā)布操作、業(yè)務(wù)流程等內(nèi)容）等。重要網(wǎng)絡(luò)區(qū)域的客戶機病毒感染情況、通過網(wǎng)絡(luò)進(jìn)行的文件共享操作、文件拷貝/打印操作、通過modem亶自連接外網(wǎng)的情況、非業(yè)務(wù)異常軟件的安裝和運行等的

8、審計四、安全審計系統(tǒng)使用的關(guān)鍵技術(shù)根據(jù)在涉密信息系統(tǒng)中要進(jìn)行安全審計的內(nèi)容，我們可以從技術(shù)上分為以下幾個模塊：1 .網(wǎng)絡(luò)審計模塊：主要負(fù)責(zé)網(wǎng)絡(luò)通信系統(tǒng)的審計；2 .操作系統(tǒng)審計模塊：主要負(fù)責(zé)對重要服務(wù)器主機操作系統(tǒng)的審計；3 .數(shù)據(jù)庫審計模塊：主要負(fù)責(zé)對重要數(shù)據(jù)庫操作的審計；4 .主機審計模塊：主要負(fù)責(zé)對網(wǎng)絡(luò)重要區(qū)域的客戶機進(jìn)行審計；5 .應(yīng)用審計模塊：主要負(fù)責(zé)重要服務(wù)器主機的應(yīng)用平臺軟件，以及重要應(yīng)用系統(tǒng)進(jìn)行審計。還需要配備一個數(shù)據(jù)庫系統(tǒng)，負(fù)責(zé)以上審計模塊生成的審計數(shù)據(jù)的存儲、檢索、數(shù)據(jù)分析等操作，另外，還需要設(shè)計一個統(tǒng)一管理平臺模塊，負(fù)責(zé)接收各審計模塊發(fā)送的審計數(shù)據(jù)，存入數(shù)據(jù)庫，以及向?qū)徲?/p>

9、模塊發(fā)布審計規(guī)則。如下圖所示：安全審計系統(tǒng)中應(yīng)解決如下的關(guān)鍵技術(shù)：1 .網(wǎng)絡(luò)監(jiān)聽：2 .內(nèi)核驅(qū)動技術(shù)：是主機審計模塊、操作系統(tǒng)審計模塊的核心技術(shù)，它可以做到和操作系統(tǒng)的無縫連接，可以方便的對硬盤、cpu、內(nèi)存、網(wǎng)絡(luò)負(fù)載、進(jìn)程、文件拷貝/打印操作、通過modem亶自連接外網(wǎng)的情況、非業(yè)務(wù)異常軟件的安裝和運行等進(jìn)行審計。3 .應(yīng)用系統(tǒng)審計數(shù)據(jù)讀取技術(shù)：大多數(shù)的多用戶操作系統(tǒng)（windows>unix等）、正規(guī)的大型軟件（數(shù)據(jù)庫系統(tǒng)等）、多數(shù)安全設(shè)備（防火墻、防病毒軟件等）都有自己的審計功能，日志通常用于檢查用戶的登錄、分析故障、進(jìn)行收費管理、統(tǒng)計流量、檢查軟件運行情況和調(diào)試軟件，系統(tǒng)或設(shè)備的

10、審計日志通?？梢杂米鞫伍_發(fā)的基礎(chǔ)，所以如何讀取多種系統(tǒng)和設(shè)備的審計日志將是解決操作系統(tǒng)審計模塊、數(shù)據(jù)庫審計模塊、應(yīng)用審計模塊的關(guān)鍵所在。4 .完善的審計數(shù)據(jù)分析技術(shù)：審計數(shù)據(jù)的分析是一個安全審計系統(tǒng)成敗的關(guān)鍵，分析技術(shù)應(yīng)該能夠根據(jù)安全策略對審計數(shù)據(jù)具備評判異常和違規(guī)的能力，分為實時分析和事后分析：實時分析：提供或獲取審計數(shù)據(jù)的設(shè)備和軟件應(yīng)該具備預(yù)分析能力，并能夠進(jìn)行第一道篩選；事后分析：統(tǒng)一管理平臺模塊對記錄在數(shù)據(jù)庫中的審計記錄進(jìn)行事后分析，包括統(tǒng)計分析和數(shù)據(jù)挖掘。五、安全審計系統(tǒng)應(yīng)該注意的問題安全審計系統(tǒng)的設(shè)計應(yīng)該注意以下幾個問題：1 .審計數(shù)據(jù)的安全：在審計數(shù)據(jù)的獲取、傳輸、存儲過程中都

11、應(yīng)該注意安全問題，同樣要保證審計信息的“五性”。在審計數(shù)據(jù)獲取過程中應(yīng)該防止審計數(shù)據(jù)的丟失，應(yīng)該在獲取后盡快傳輸?shù)浇y(tǒng)一管理平臺模塊，經(jīng)過濾后存入數(shù)據(jù)庫，如果沒有連接到管理平臺模塊，則應(yīng)該在本地進(jìn)行存儲，待連接后再發(fā)送至管理平臺模塊，并且應(yīng)該采取措施防止審計功能被繞過；在傳輸過程中應(yīng)該防止審計數(shù)據(jù)被截獲、篡改、丟失等，可以采用加密算法以及數(shù)字簽名方式進(jìn)行控制；在審計數(shù)據(jù)存儲時應(yīng)注意數(shù)據(jù)庫的加密，防止數(shù)據(jù)庫溢出，當(dāng)數(shù)據(jù)庫發(fā)生異常時，有相應(yīng)的應(yīng)急措施，而且應(yīng)該在進(jìn)行審計數(shù)據(jù)讀取時加入身份鑒別機制，防止非授權(quán)的訪問。2 .審計數(shù)據(jù)的獲取首先要把握和控制好數(shù)據(jù)的來源，比如來自網(wǎng)絡(luò)的數(shù)據(jù)截?。粊碜韵到y(tǒng)、網(wǎng)

12、絡(luò)、防火墻、中間件等系統(tǒng)的日志；通過嵌入模塊主動收集的系統(tǒng)內(nèi)部信息；通過網(wǎng)絡(luò)主動訪問獲取的信息來自應(yīng)用系統(tǒng)或安全系統(tǒng)的審計數(shù)據(jù)等。有數(shù)據(jù)源的要積極獲??；沒有數(shù)據(jù)源的要設(shè)法生成數(shù)據(jù)。對收集的審計數(shù)據(jù)性質(zhì)也要分清哪些是已經(jīng)經(jīng)過分析和判斷的數(shù)據(jù)，哪些是沒有分析的原始數(shù)據(jù)，要做出不同的處理。另外，應(yīng)該設(shè)計公開統(tǒng)一的日志讀取api,使應(yīng)用系統(tǒng)或安全設(shè)備開發(fā)時，就可以將審計日志按照日志讀取api的模式進(jìn)行設(shè)計，方便日后的審計數(shù)據(jù)獲取。3 .管理平臺分級控制由于涉密信息系統(tǒng)的迅速發(fā)展，系統(tǒng)規(guī)模也在不斷擴大，所以在安全審計設(shè)計的初期就應(yīng)該考慮分布式、跨網(wǎng)段，能夠進(jìn)行分級控制的問題。也就是說一個涉密信息系統(tǒng)中可

13、能存在多個統(tǒng)一管理平臺，各自管理一部分審計模塊，管理平臺之間是平行關(guān)系或上下級關(guān)系，平級之間不能互相管理，上級可以向下級發(fā)布審計規(guī)則，下級根據(jù)審計規(guī)則向上級匯報審計數(shù)據(jù)。這樣能夠根據(jù)網(wǎng)絡(luò)規(guī)模及安全域的劃分靈活的進(jìn)行擴充和改變，也有利于整個安全審計系統(tǒng)的管理，減輕網(wǎng)絡(luò)的通信負(fù)擔(dān)。4 .易于升級維護(hù)安全審計系統(tǒng)應(yīng)該采用模塊設(shè)計，這樣有利于審計系統(tǒng)的升級和維護(hù)。專家預(yù)測，安全審計系統(tǒng)在2003年是最熱門的信息安全技術(shù)之一。國內(nèi)很多信息安全廠家都在進(jìn)行相關(guān)技術(shù)的研究，有的已經(jīng)推出了成型的產(chǎn)品，另一方面，相關(guān)的安全審計標(biāo)準(zhǔn)也在緊鑼密鼓的制定當(dāng)中，看來一個安全審計的春天已經(jīng)離我們越來越近了。但是信息系統(tǒng)的

14、安全從來都是一個相對的概念，只有相對的安全，而沒有絕對的安全。安全也是一個動態(tài)發(fā)展的過程，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，安全審計還有很多值得關(guān)注的問題，如：1. 網(wǎng)絡(luò)帶寬由現(xiàn)在的100兆會增加到1g,安全審計如何對千兆網(wǎng)絡(luò)進(jìn)行審計就是值得關(guān)注的問題；2. 當(dāng)前還沒有一套為各信息安全廠商承認(rèn)的安全審計接口標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的制定與應(yīng)用將會使安全審計跨上一個新的臺階；篇三：計算機信息安全檢查與審計報告計算機信息安全檢查與審計一、取硬盤序列號及涉密計算機安全檢查1 .雙擊打開“取硬盤序列號.exe”文件，之后點“顯示”，可獲得硬盤序列號。2 .雙擊打開“涉密計算機安全檢查系統(tǒng).exe”文件，填入計算機型號與使用人。點

15、擊“確定”會出現(xiàn)如下對話框進(jìn)入涉密計算機安全檢查系統(tǒng)主界面。會發(fā)現(xiàn)該檢查系統(tǒng)分為常規(guī)檢查和強力檢查，其中常規(guī)檢查分為：“上網(wǎng)行為檢查”、“文件檢查”、“系統(tǒng)消息檢查”、“開放資源檢查”、“系統(tǒng)運行消息檢查"。強力檢查分為：“上網(wǎng)行為檢查”、“近期處理過的文件檢查”。對計算機進(jìn)行檢查的時候會在該文件夾下創(chuàng)建一個“用戶名機器型號”的文件夾。如：“weiman2_wd-wmav2ad63642'。對機器的檢查記錄會以txt形式保存在該目錄下。其中強力檢查用時最長且文件最大?？梢苑謩e打開文檔對該計算機的信息進(jìn)行查看。例如開放端口信息、近期處理過的文件強力檢查列表、運行進(jìn)程列表、上網(wǎng)記

16、錄強力檢查列表。二、viewurl和wsyscheck三、usb檢查打開"usbdeview.exe”可對該機器usb借口進(jìn)行檢查。篇四：xx單位信息安全評估報告xx單位信息安全評估報告（管理信息系統(tǒng)）xx單位二零年九月1目標(biāo)XX單位信息安全檢查工作的主要目標(biāo)是通過自評估工作，發(fā)現(xiàn)本局信息系統(tǒng)當(dāng)前面臨的主要安全問題，邊檢查邊整改，確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。2評估依據(jù)、范圍和方法2.1 評估依據(jù)根據(jù)國務(wù)院信息化工作辦公室關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知（信安通200615號）、國家電力監(jiān)管委員會關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知（辦信息2

17、00648號）以及集團(tuán)公司和省公司公司的文件、檢查方案要求，開展XX單位的信息安全評估。2.2 評估范圍本次信息安全評估工作重點是重要的業(yè)務(wù)管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等，管理信息系統(tǒng)中業(yè)務(wù)種類相對較多、網(wǎng)絡(luò)和業(yè)務(wù)結(jié)構(gòu)較為復(fù)雜，在檢查工作中強調(diào)對基礎(chǔ)信息系統(tǒng)和重點業(yè)務(wù)系統(tǒng)進(jìn)行安全性評估，具體包括：基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)、現(xiàn)有安全防護(hù)措施、信息安全管理的組織與策略、信息系統(tǒng)安全運行和維護(hù)情況評估。2.3 評估方法采用自評估方法。3重要資產(chǎn)識別對本局范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的影響進(jìn)行識別，將一旦停止運行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)

18、和1。業(yè)務(wù)的服務(wù)器進(jìn)行登記匯總，形成重要資產(chǎn)清單。資產(chǎn)清單見附表4安全事件對本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進(jìn)行匯總記錄，形成本單位的安全事件列表。安全事件列表見附表2。5安全檢查項目評估5.1規(guī)章制度與組織管理評估5.1.1組織機構(gòu)評估標(biāo)準(zhǔn)信息安全組織機構(gòu)包括領(lǐng)導(dǎo)機構(gòu)、工作機構(gòu)?，F(xiàn)狀描述本局已成立了信息安全領(lǐng)導(dǎo)機構(gòu)，但尚未成立信息安全工作機構(gòu)。評估結(jié)論完善信息安全組織機構(gòu)，成立信息安全工作機構(gòu)。崗位職責(zé)評估標(biāo)準(zhǔn)崗位要求應(yīng)包括：專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員；專責(zé)的工作職責(zé)與工作范圍應(yīng)有制度明確進(jìn)行界定；崗位實行主、副崗備用制度?，F(xiàn)狀描述評估結(jié)論

19、本局已有兼職網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員和系統(tǒng)管理員，在條件許可下，配置專職管理人員；專責(zé)的工作職責(zé)與工作范圍沒有明確制度進(jìn)行界定，根據(jù)實際情況制定管理制度；崗位沒有實行主、副崗備用制度，在條件許可下，落實主、副崗備用制度。病毒管理評估標(biāo)準(zhǔn)病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預(yù)警和報告機制、病毒掃描策略（1周內(nèi)至少進(jìn)行一次掃描）?，F(xiàn)狀描述本局使用Symantec防病毒軟件進(jìn)行病毒防護(hù)，定期從省公司病毒庫服務(wù)器下載、升級安全策略；病毒預(yù)警是通過第三方和網(wǎng)上提供信息來源，每月統(tǒng)計、匯總病毒感染情況并提交局生技部和省公司生技部；每周進(jìn)行二次自動病毒掃描；沒有制定計算機病毒防治管

20、理制度。評估結(jié)論完善病毒預(yù)警和報告機制，制定計算機病毒防治管理制度。運行管理評估標(biāo)準(zhǔn)運行管理應(yīng)制定信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度并實行工作票制度；制定機房出入管理制度并上墻，對進(jìn)出機房情況記錄?，F(xiàn)狀描述沒有建立相應(yīng)信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度，沒有實行工作票制度；機房出入管理制度上墻，但沒有機房進(jìn)出情況記錄。評估結(jié)論結(jié)合本局具體情況，制訂信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度，實行工作票制度；機房出入管理制度上墻，記錄機房進(jìn)出情況。賬號與口令管理評估標(biāo)準(zhǔn)制訂了賬號與口令管理制度；普通用戶

21、賬戶密碼、口令長度要求符合大于6字符，管理員賬戶密碼、口令長度大于8字符；半年內(nèi)賬戶密碼、口令應(yīng)變更并保存變更相關(guān)記錄、通知、文件，半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后應(yīng)及時對其賬戶進(jìn)行變更或注銷?，F(xiàn)狀描述沒有制訂賬號與口令管理制度，普通用戶賬戶密碼、口令長度要求大部分都不符合大于6字符；管理員賬戶密碼、口令長度大于8字符，半年內(nèi)賬戶密碼、口令有過變更，但沒有變更相關(guān)記錄、通知、文件；半年內(nèi)系統(tǒng)用戶身份發(fā)生變化后能及時對其賬戶進(jìn)行變更或注銷。評估結(jié)論制訂賬號與口令管理制度，完善普通用戶賬戶與管理員賬戶密碼、口令長度要求；對賬戶密碼、口令變更作相關(guān)記錄；及時對系統(tǒng)用戶身份發(fā)生變化后對其賬戶進(jìn)行變更或注銷

22、。篇五：計算機和信息系統(tǒng)安全保密審計報告計算機和信息系統(tǒng)安全保密審計報告根據(jù)市國家保密局要求，公司領(lǐng)導(dǎo)非常重視計算機信息系統(tǒng)安全保密工作，在公司內(nèi)部系統(tǒng)內(nèi)開展自查，認(rèn)真對待，不走過場，確保檢查不漏一機一人。雖然在檢查中沒有發(fā)現(xiàn)違反安全保密規(guī)定的情況，但是，仍然要求計算機使用管理人員不能放松警惕，要時刻注意自己所使用和管理的計算機符合計算機信息系統(tǒng)安全保密工作的規(guī)定，做到專機專用，專人負(fù)責(zé)，專人管理，確保涉密計算機不上網(wǎng)，網(wǎng)上信息發(fā)布嚴(yán)格審查，涉密資料專門存儲，不交叉使用涉密存儲設(shè)備，嚴(yán)格落實計算機信息系統(tǒng)安全保密制度。通過檢查，進(jìn)一步提高了全公司各部門員工對計算機信息系統(tǒng)安全保密工作的認(rèn)識，增強了責(zé)任感和使命感。現(xiàn)將自查情況匯報如下：一、加大保密宣傳教育，增強保密觀念。始終把安全保密宣傳教育作為一件大事來抓，經(jīng)常性地組織全體職工認(rèn)真學(xué)習(xí)各級有關(guān)加強安全保密的規(guī)定和保密常識，如看計算機泄密錄像等，通過學(xué)習(xí)全公司各部門員工安全憂患意識明顯增強，執(zhí)行安全保密規(guī)定的自覺性和能力明顯提高。二、明確界定涉密計算機和非涉密計算機。涉密計算機應(yīng)有相應(yīng)標(biāo)識，設(shè)置開機、屏?？诹?，定期更換口令，存放環(huán)境要安全可靠。涉密移動硬盤、軟盤、光盤、